Biométrie au travail : la CNIL adopte un règlement type
La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié le 28 mars dernier son règlement type « biométrie sur les lieux de travail »
|
Ce règlement fixe les règles applicables à toute utilisation de données biométriques imposée par un employeur du secteur public ou privé à son personnel pour le contrôle des accès aux locaux, aux applications et aux outils de travail.
Un cadre juridiquement contraignant
Avec la réécriture de la loi Informatique et Libertés, le législateur français a donné à la CNIL de nouveaux pouvoirs de régulation.
La Commission peut ainsi établir, en concertation avec les organismes publics et privés représentatifs des acteurs concernés, des règlements types afin d’encadrer les traitements de données biométriques, génétiques et de santé. A ce titre, ce règlement type est juridiquement contraignant pour les organismes. Il est donc important de noter que, contrairement aux référentiels ou recommandations que la CNIL adopte, le respect de ce règlement est obligatoire pour tout organisme qui souhaite mettre en place un dispositif biométrique pour le contrôle des accès sur les lieux de travail.
Les points importants à retenir
Le type de données biométriques concernées :
Le règlement type rappelle que l’authentification biométrique basée sur des caractéristiques morphologiques (iris, empreinte digitale, réseau veineux de la main, etc.) est autorisée, au contraire de celle nécessitant un prélèvement biologique (salive, sang, etc.)Par ailleurs, le responsable du traitement doit justifier et documenter le choix du type de biométrie utilisée, et notamment pourquoi il a choisi une caractéristique biométrique plutôt qu’une autre.
La justification du recours à un traitement de données biométriques :
Le responsable du traitement doit démontrer la nécessité de recourir à un dispositif biométrique plutôt qu’à d’autres dispositifs d’identification (badges, mots de passe, etc.) pour atteindre le niveau de sécurité exigé. Pour cela, une documentation doit être tenue par le responsable du traitement, détaillant le contexte du traitement rendant nécessaire un niveau de protection élevé (manipulation de machines ou produits dangereux, à du matériel faisant l’objet d’une règlementation spécifique) et démontrant l’insuffisance d’un autre dispositif moins intrusif.
Le choix des modalités de détention du gabarit :
Différents types de détention de gabarits biométriques sont envisageables, distingués selon le degré de maîtrise des personnes concernées sur le support de conservation. Le règlement type précise qu’en principe, dans le cadre de traitements de données biométriques, les employeurs ne peuvent utiliser que des gabarits de type 1, c’est-à-dire sous maîtrise des personnes concernées (le support de stockage est détenu par la personne elle-même, par exemple un badge. Les gabarits de type 2 (sous maîtrise partagée) et de type 3 (non maîtrisés par les personnes concernées) peuvent être utilisés seulement dans des circonstances particulières. En outre, la décision de recourir aux gabarits de type 2 ou 3 doit être documentée par le responsable du traitement en justifiant le choix effectué.
La sécurité des données :
Le règlement type impose aux organismes de mettre en place au minimum les mesures de sécurité techniques et organisationnelles expressément définies dans le texte, et à défaut des mesures dont ils démontrent qu’elles sont équivalentes.
L’analyse d’impact relative à la protection des données :
Le règlement type rappelle l’obligation d’effectuer une analyse d’impact pour les traitements de données biométriques aux fins d’identifier une personne physique considérée comme « vulnérable » (salariés, mineurs, personnes âgées, patients, etc.), conformément à la liste adoptée par la CNIL sur les types d’opérations de traitement pour lesquelles une analyse d’impact est requise.
Pour en savoir plus:
https://www.cnil.fr/fr/biometrie-sur-les-lieux-de-travail-publication-dun-reglement-type
https://www.cnil.fr/fr/question-reponses-sur-le-reglement-type-biometrie
https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise-v2.pdf
Solution logicielle : https://www.digitemis.com/innovation-et-outils/
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?